La Agencia Tributaria habría sido víctima de un ataque de ransomware, según ha señalado un grupo de cibermalos.
La banda de ciberdelincuentes Trinity así lo asegura en su página de filtraciones, sacando pecho de haber robado 560 GB de detalles confidenciales que corresponderían a millones de contribuyentes españoles y a la propia institución.
El grupo de hackers ha amenazado con publicar la base de datos obtenida antes del próximo 31 de diciembre en caso de que Hacienda no pague el rescate exigido. La cuantía del mismo se elevaría a 38 millones de dólares.
Los actores de amenazas han dejado un pequeño margen a la institución para que se 'coma las uvas', ya que han fijado las 23 horas del último día del año como hora límite.
Sin embargo, Hacienda ha negado que se haya producido el incidente. "No se ha detectado ningún indicio de posibles equipos cifrados o salidas de datos", ha señalado la agencia.
La firma de ciberseguridad HackManac, que se encarga de recoger y comprobar las principales filtraciones detectadas, sí que habría dado por cierto el ciberataque.
¿Quiénes son los atacantes?
Trinity es un grupo 'de nuevo cuño' cuya primera aparición dataría del pasado mes de mayo. La banda suele usar una estrategia de doble extorsión para atacar a sus víctimas.
No obstante, un análisis de CRIL revela que un ransomware llamado “2023Lock” comparte un formato de nota de rescate y una base de código subyacente similares a Trinity, lo que indica que podría ser una nueva variante de 2023Lock.
El ransomware Trinity utiliza el algoritmo ChaCha20 para el cifrado. Distribuye notas de rescate en formato de texto y .hta, ajusta el fondo de pantalla del escritorio mediante una modificación del registro y etiqueta los archivos cifrados con la extensión “.trinitylock”.